CrowdStrike加入VirusTotal陣營

本文講的是CrowdStrike加入VirusTotal陣營，VirusTotal(VT)在今年5月做出了兩個政策調整，似乎特别針對下一代(機器學習，去特征碼化)終端安全廠商。第一個調整要求所有想充分利用 VT API 的公司，通過公開VT接口注冊他們的檢測引擎。第二個則堅持要求要是反惡意軟體測試标準組織(AMTSO)的成員。而Crowdstrike，現已成為兩項要求都符合的第一家下一代廠商。

谷歌旗下的VT所作出的這一舉動，廣受傳統基于簽名的反惡意軟體廠商的歡迎，他們普遍覺得自己被咄咄逼人的下一代市場營銷不公平對待了——通常基于公開的VT結果，并錯誤地宣稱傳統廠商不過是簡單的黑名單特征碼檢測系統。

有迹象表明，下一代廠商的激進營銷有漸緩趨勢，但仍在繼續。不過，Crowdstrike的舉動是個積極的标志，至少有一家下一代廠商願意內建進整體反惡意軟體市場，為所有使用者提供福利。

通過“加入”’VirusTotal，Crowdstrike承諾遵守VT的政策，包括：VirusTotal不能用于産生不同防毒軟體産品之間的對比名額；VirusTotal不能用做以誤導性方式對反惡意軟體業内合法參與者進行诽謗，或驗證對業内參與者有利或不利的聲明。

“我們是目前唯一一家基于機器學習的去特征碼化廠商。我們期望并鼓勵其他人也加入。”Crowdstrike首席科學家史文·科拉舍說，“我們想與社群一起對業内标準有所貢獻。作為提供下一代反病毒(AV)解決方案和進階威脅防禦的廠商，我們應該也正在發放對我們資料的通路權。”

傳統反惡意軟體廠商的另一個批評是，下一代廠商一直不願将他們的産品送出給獨立第三方進行測試。Crowdstrike在對待測試的态度上同樣充當了先驅的角色。

西蒙·愛德華茲，第三方測試公司SELabs董事。他說：“年初我就注意到這些公司對測試的興趣加大了。”事實上，Crowdstrike正是個中代表案例，在2016年7月就在AMTSO指導方針下把自己送出給了SELabs進行測試。測試結果非常棒，對已知和未知樣本都有100%的檢出率，誤報率是令人驚訝的0%。

所有這些引出了一個疑問：如果下一代終端安全廠商可将其機器學習檢測系統內建到VT中，那為什麼傳統廠商不能做到同樣的事呢？畢竟，所有傳統反惡意軟體公司都利用機器學習技術很多年了啊。

答案或許會是：傳統廠商利用機器學習去訓練用于用戶端系統上的邏輯程式包了。這些邏輯程式包是基于檔案結構或其行為來檢測可疑之處的，通過定期更新推送到用戶端——這一過程不能被VirusTotal輕松複制。這不僅僅是超資源密集型，還是維護的噩夢，尤其是在考慮到VT的系統已經包含了超過50種産品的情況下。即便VT的基礎設施可以承受每天每個廠家交出的30萬樣本，雇來維護環境和産品的人手也是不可承受之重了。

那麼，兩種模式之間的巨大差别就在于：下一代廠商是設計算法并放任客戶使用，而傳統廠商則是将機器學習放在背景。用某廠商的話說，“很大程度上，因為我們相信，機器學習依然需要一定程度上的人類監管。”

早期機器學習産生了大量誤報，但在最近幾年裡已經大幅改進了(參看Crowdstrike的0%誤報率)。或許是時候讓傳統廠商們徹底翻新他們的市場營銷理論了。Crowdstrike已同意不使用VT結果來推動其自有“評分”淩駕其他VT結果之上(因為這是誤導性的)。但消費者卻總是這麼做，而且會一直持續這麼做下去。Crowdstrike很好地遵循了傳統廠商的規則，又保證了自己的利益。

Crowdstrike參與了DNC黑客事件的響應工作，發現了兩個互相獨立的俄羅斯情報收集組織的證據：CozyDuke和 Fancy Bear。

原文釋出時間為： 八月 29, 2016

本文作者：nana

本文來自雲栖社群合作夥伴安全牛，了解相關資訊可以關注安全牛。